Azure Active Directoryでのシングルサインオン
メモ:
2023年7月より、MicrosoftはAzure Active Directory(Azure AD)の名前をMicrosoft Entra IDに変更しました。 このドキュメントでは、Azure Active Directory、Azure AD、またはAADへの言及はすべて、Microsoft Entra IDを意味することになります。
Citrixフェデレーション認証サービス(FAS)は、ドメイン参加済みVirtual Delivery Agent(VDA)にシングルサインオン(SSO)を提供します。 FASは、VDAがActive Directory(AD)に対してユーザーを認証するために使用するユーザー証明書をVDAとともに提供することで、SSOを実現します。 VDAセッションにサインオンすると、再認証なしでADリソースにアクセスできます。
Microsoft Entra ID (ME-ID)は、ADとMicrosoft Entra ID間を同期して実装するのが一般的です。これにより、ユーザーとコンピューターの両方のハイブリッドIDが作成されます。 この記事では、FASの使用時にVDAセッション内からMicrosoft Entra IDへのSSOを実現するために必要な追加の構成について説明します。これにより、ユーザーは再認証なしでMicrosoft Entra IDで保護されたアプリケーションにアクセスできるようになります。
メモ:
- Microsoft Entra IDでSSOを使用するために、FASの特別な構成は必要ありません。
- FASセッション内証明書は必要ありません。
- 任意のバージョンのFASを使用できます。
- FASをサポートする任意のバージョンのVDAを使用できます。
次の表は、Microsoft Entra ID SSOの手法の概要を示しています:
| ME-ID認証の種類 | VDAはドメイン参加済み | VDAはハイブリッド参加済み |
|---|---|---|
| 管理対象 | ME-IDのシームレスなSSOを使用する | ME-ID証明書ベースの認証を使用する |
| Active Directoryフェデレーションサービス(ADFS)とのフェデレーション | ADFSでWindows認証を有効にする | WS-Trust certificatemixedエンドポイントが有効になっていることを確認する |
| サードパーティのIDプロバイダーとのフェデレーション | サードパーティのソリューションを使用する | サードパーティのソリューションを使用する |
-
管理対象Microsoft Entra IDドメインは、Microsoft Entra IDでユーザー認証が行われるドメインであり、ネイティブMicrosoft Entra ID認証と呼ばれることもあります。
-
フェデレーションMicrosoft Entra IDドメインは、認証を別の場所にリダイレクトするようにMicrosoft Entra IDが構成されているドメインです。 たとえば、ADFSまたはサードパーティのIDプロバイダーに対してです。
-
ハイブリッド参加済みVDAは、AD参加済みでMicrosoft Entra ID参加済みです。
ドメイン参加済みVDA
ドメイン参加済みVDAの場合、Windows認証(従来は統合Windows認証(Kerberos)と呼ばれていました)を使用してMicrosoft Entra IDへのSSOを実現します。 ユーザーがVDAセッション内からMicrosoft Entra IDで保護されたアプリケーションにアクセスすると、Microsoft Entra IDへの認証が行われます。 次の図は、認証プロセスの概要を示しています。
正確な詳細は、Microsoft Entra IDドメインが管理対象かフェデレーションかによって異なります。
管理対象Microsoft Entra IDドメインのセットアップについては、「シームレスシングルサインオン」を参照してください。
ADFSとフェデレーションされたMicrosoft Entra IDドメインの場合、ADFSサーバーでWindows認証を有効にします。
サードパーティのIDプロバイダーとフェデレーションされたMicrosoft Entra IDドメインの場合、同様のソリューションが存在します。 ヘルプが必要な場合は、IDプロバイダーにお問い合わせください。
メモ:
ハイブリッド参加済みVDA用とドメイン参加済みVDA用にリストされているソリューションを使用することもできます。 ただし、FASを使用する場合、Microsoft Entra IDプライマリ更新トークン(PRT)は生成されません。
ハイブリッド参加済みVDA
ハイブリッド参加済みVDAは、ADとMicrosoft Entra IDに同時に参加します。 ユーザーがVDAにサインインすると、次のアーティファクトが作成されます:
- ADリソースに対して認証するためのKerberos Ticket Granting Ticket(TGT)
- Microsoft Entra IDリソースに対して認証するためのプライマリ更新トークン(PRT)
PRTには、ユーザーとコンピューターの両方に関する情報が含まれています。 この情報は、必要に応じてMicrosoft Entra ID条件付きアクセスポリシーで使用されます。
FASはVDAに証明書を提供してユーザーを認証するため、Microsoft Entra IDの証明書ベースの認証が実装されている場合にのみPRTを作成できます。 次の図は、認証プロセスの概要を示しています。
正確な詳細は、Microsoft Entra IDドメインが管理対象かフェデレーションかによって異なります。
管理対象Microsoft Entra IDドメインの場合は、Microsoft Entra ID CBAを構成します。 詳しくは、「Azure AD証明書ベースの認証の概要」を参照してください。 VDAはMicrosoft Entra ID CBAを使用し、ユーザーのFAS証明書によってユーザーをMicrosoft Entra IDに認証します。
メモ:
Microsoftのドキュメントでは、スマートカード証明書を使用したサインインについて説明していますが、基となる手法はFASユーザー証明書を使用してサインインする場合に適用されます。
ADFSにフェデレーションされたMicrosoft Entra IDドメインの場合、VDAはADFSサーバーのWS-Trust certificatemixedエンドポイントを使用して、ユーザーのFAS証明書によってユーザーをMicrosoft Entra IDに認証します。 このエンドポイントはデフォルトで有効になっています。
サードパーティのIDプロバイダーとフェデレーションされたMicrosoft Entra IDドメインの場合、同様のソリューションが存在することがあります。 IDプロバイダーは、WS-Trust certificatemixedエンドポイントを実装する必要があります。 ヘルプが必要な場合は、IDプロバイダーにお問い合わせください。